การรีเซ็ตรหัสผ่าน Edge

Edge for Private Cloud v4.18.05

คุณสามารถรีเซ็ตรหัสผ่านของ OpenLDAP, ผู้ดูแลระบบ Apigee Edge, ผู้ใช้องค์กร Edge และ Cassandra หลังจากการติดตั้งเสร็จสมบูรณ์

รีเซ็ตรหัสผ่าน OpenLDAP

คุณติดตั้ง OpenLDAP ในรูปแบบต่อไปนี้ได้ ทั้งนี้ขึ้นอยู่กับการกำหนดค่า Edge

• อินสแตนซ์เดียวของ OpenLDAP ที่ติดตั้งในโหนดเซิร์ฟเวอร์การจัดการ เช่น ในการกำหนดค่า Edge แบบ 2 นอต 5 นอต หรือ 9 นอต
• อินสแตนซ์ OpenLDAP หลายรายการที่ติดตั้งในโหนดเซิร์ฟเวอร์การจัดการซึ่งกำหนดค่าด้วยการจำลองข้อมูล OpenLDAP เช่น ในการกำหนดค่า Edge 12 นอต
• อินสแตนซ์ OpenLDAP หลายรายการติดตั้งในโหนดของตัวเองที่กำหนดค่าด้วยการจำลอง OpenLDAP เช่น ในการกำหนดค่า Edge แบบ 13 โหนด

วิธีรีเซ็ตรหัสผ่าน OpenLDAP จะขึ้นอยู่กับการกำหนดค่า

สําหรับอินสแตนซ์เดียวของ OpenLDAP ที่ติดตั้งในเซิร์ฟเวอร์การจัดการ ให้ทําดังนี้

1. ในโหนดเซิร์ฟเวอร์การจัดการ ให้เรียกใช้คำสั่งต่อไปนี้เพื่อสร้างรหัสผ่าน OpenLDAP ใหม่

   /opt/apigee/apigee-service/bin/apigee-service apigee-openldap change-ldap-password -o OLD_PASSWORD -n NEW_PASSWORD

2. เรียกใช้คำสั่งต่อไปนี้เพื่อจัดเก็บรหัสผ่านใหม่สำหรับการเข้าถึงโดยเซิร์ฟเวอร์การจัดการ

   /opt/apigee/apigee-service/bin/apigee-service edge-management-server store_ldap_credentials -p NEW_PASSWORD

   คำสั่งนี้จะรีสตาร์ทเซิร์ฟเวอร์การจัดการ

ในการตั้งค่าการทําซ้ำ OpenLDAP ที่มีการติดตั้ง OpenLDAP ในโหนดเซิร์ฟเวอร์การจัดการ ให้ทําตามขั้นตอนข้างต้นในโหนดเซิร์ฟเวอร์การจัดการทั้ง 2 โหนดเพื่ออัปเดตรหัสผ่าน

ในการตั้งค่าการจำลอง OpenLDAP ที่มี OpenLDAP อยู่บนโหนดอื่นที่ไม่ใช่เซิร์ฟเวอร์การจัดการ โปรดตรวจสอบว่าคุณเปลี่ยนรหัสผ่านในโหนด OpenLDAP ทั้งสองแล้วก่อน จากนั้นจึงเปลี่ยนรหัสผ่านในโหนดเซิร์ฟเวอร์การจัดการทั้ง 2 โหนด

รีเซ็ตรหัสผ่านของผู้ดูแลระบบ

การรีเซ็ตรหัสผ่านของผู้ดูแลระบบระบบกำหนดให้คุณต้องรีเซ็ตรหัสผ่านใน 2 ที่ ได้แก่

• เซิร์ฟเวอร์การจัดการ
• UI

วิธีรีเซ็ตรหัสผ่านของผู้ดูแลระบบ

1. ในโหนด UI ให้หยุด UI ของ Edge โดยทำดังนี้

   /opt/apigee/apigee-service/bin/apigee-service edge-ui stop

2. ในเซิร์ฟเวอร์การจัดการ ให้เรียกใช้คำสั่งต่อไปนี้เพื่อรีเซ็ตรหัสผ่าน
   

   /opt/apigee/apigee-service/bin/apigee-service edge-management-server change_sysadmin_password -o currentPW -n newPW

3. แก้ไขไฟล์การกําหนดค่าแบบเงียบที่คุณใช้ติดตั้ง UI ของ Edge เพื่อตั้งค่าพร็อพเพอร์ตี้ต่อไปนี้

   APIGEE_ADMINPW=NEW_PASSWORD
   SMTPHOST=smtp.gmail.com
   SMTPPORT=465
   SMTPUSER=foo@gmail.com
   SMTPPASSWORD=bar
   SMTPSSL=y
   SMTPMAILFROM="My Company <myco@company.com>"

   โปรดทราบว่าคุณต้องใส่พร็อพเพอร์ตี้ SMTP เมื่อส่งรหัสผ่านใหม่ เนื่องจากระบบจะรีเซ็ตพร็อพเพอร์ตี้ทั้งหมดใน UI

4. ใช้ยูทิลิตี apigee-setup เพื่อรีเซ็ตรหัสผ่านใน Edge UI จากไฟล์การกำหนดค่า

   /opt/apigee/apigee-setup/bin/setup.sh -p ui -f configFile

5. (เฉพาะในกรณีที่เปิดใช้ TLS ใน UI) เปิดใช้ TLS ใน UI ของ Edge อีกครั้งตามที่อธิบายไว้ในการกำหนดค่า TLS สำหรับ UI การจัดการ

ในสภาพแวดล้อมการทําซ้ำ OpenLDAP ที่มีเซิร์ฟเวอร์การจัดการหลายเครื่อง การรีเซ็ตรหัสผ่านในเซิร์ฟเวอร์การจัดการเครื่องหนึ่งจะอัปเดตเซิร์ฟเวอร์การจัดการอีกเครื่องโดยอัตโนมัติ อย่างไรก็ตาม คุณต้องอัปเดตโหนด Edge UI ทั้งหมดแยกต่างหาก

รีเซ็ตรหัสผ่านของผู้ใช้องค์กร

หากต้องการรีเซ็ตรหัสผ่านของผู้ใช้องค์กร ให้ใช้ยูทิลิตี apigee-service เพื่อเรียกใช้ apigee-setup ดังนี้

/opt/apigee/apigee-service/bin/apigee-service apigee-setup reset_user_password
  [-h]
  [-u USER_EMAIL]
  [-p USER_PWD]
  [-a ADMIN_EMAIL]
  [-P APIGEE_ADMINPW]
  [-f configFile]

เช่น

/opt/apigee/apigee-service/bin/apigee-service apigee-setup reset_user_password -u user@myCo.com -p Foo12345 -a admin@myCo.com -P adminPword

ตัวอย่างไฟล์การกําหนดค่าที่คุณสามารถใช้ได้กับตัวเลือก "-f" มีดังนี้

USER_NAME= user@myCo.com
USER_PWD="Foo12345"
APIGEE_ADMINPW=ADMIN_PASSWORD

คุณใช้ API อัปเดตผู้ใช้เพื่อเปลี่ยนรหัสผ่านของผู้ใช้ได้ด้วย

กฎเกี่ยวกับรหัสผ่านของผู้ดูแลระบบและผู้ใช้องค์กร

ใช้ส่วนนี้เพื่อบังคับใช้ระดับความยาวและความรัดกุมของรหัสผ่านที่ต้องการสำหรับผู้ใช้การจัดการ API การตั้งค่านี้ใช้นิพจน์ทั่วไปที่กำหนดค่าไว้ล่วงหน้า (และมีการระบุหมายเลขที่ไม่ซ้ำกัน) ชุดหนึ่งเพื่อตรวจสอบเนื้อหารหัสผ่าน (เช่น อักขระตัวพิมพ์ใหญ่ ตัวพิมพ์เล็ก ตัวเลข และสัญลักษณ์พิเศษ) เขียนการตั้งค่าเหล่านี้ลงในไฟล์ /opt/apigee/customer/application/management-server.properties หากไม่มีไฟล์ดังกล่าว ให้สร้างไฟล์

หลังจากแก้ไข management-server.properties แล้ว ให้รีสตาร์ทเซิร์ฟเวอร์การจัดการโดยทำดังนี้

/opt/apigee/apigee-service/bin/apigee-service edge-management-server restart

จากนั้นคุณจะตั้งค่าระดับความปลอดภัยของรหัสผ่านได้โดยการจัดกลุ่มนิพจน์ทั่วไปหลายๆ ชุด ตัวอย่างเช่น คุณสามารถกำหนดให้รหัสผ่านที่มีตัวอักษรพิมพ์ใหญ่อย่างน้อย 1 ตัวและตัวอักษรพิมพ์เล็กอย่างน้อย 1 ตัวมีคะแนนความแข็งแกร่งเป็น "3" แต่รหัสผ่านที่มีตัวอักษรพิมพ์เล็กอย่างน้อย 1 ตัวและตัวเลขอย่างน้อย 1 ตัวมีคะแนนความแข็งแกร่งเป็น "4"

conf_security_password.validation.minimum.password.length=8
conf_security_password.validation.default.rating=2
conf_security_password.validation.minimum.rating.required=3

conf_security_password.validation.regex.1=^(.)\\1+$

conf_security_password.validation.regex.2=^.*[a-z]+.*$

conf_security_password.validation.regex.3=^.*[A-Z]+.*$

conf_security_password.validation.regex.4=^.*[0-9]+.*$

conf_security_password.validation.regex.5=^.*[^a-zA-z0-9]+.*$

conf_security_password.validation.regex.6=^.*[_]+.*$

conf_security_password.validation.regex.7=^.*[a-z]{2,}.*$

conf_security_password.validation.regex.8=^.*[A-Z]{2,}.*$

conf_security_password.validation.regex.9=^.*[0-9]{2,}.*$

conf_security_password.validation.regex.10=^.*[^a-zA-z0-9]{2,}.*$

conf_security_password.validation.regex.11=^.*[_]{2,}.*$

conf_security_password.validation.rule.1=1,AND,0
conf_security_password.validation.rule.2=2,3,4,AND,4
conf_security_password.validation.rule.3=2,9,AND,4
conf_security_password.validation.rule.4=3,9,AND,4
conf_security_password.validation.rule.5=5,6,OR,4
conf_security_password.validation.rule.6=3,2,AND,3
conf_security_password.validation.rule.7=2,9,AND,3
conf_security_password.validation.rule.8=3,9,AND,3

regex-index-list,[AND|OR],rating

conf_security_rbac.password.validation.enabled=true

รีเซ็ตรหัสผ่าน Cassandra

โดยค่าเริ่มต้น Cassandra จะปิดใช้การตรวจสอบสิทธิ์ หากคุณเปิดใช้การตรวจสอบสิทธิ์ ระบบจะใช้ผู้ใช้ที่กําหนดไว้ล่วงหน้าชื่อ "cassandra" ที่มีรหัสผ่าน "cassandra" คุณสามารถใช้บัญชีนี้ ตั้งรหัสผ่านอื่นสำหรับบัญชีนี้ หรือสร้างผู้ใช้ Cassandra ใหม่ เพิ่ม นำออก และแก้ไขผู้ใช้โดยใช้คำสั่ง CREATE/ALTER/DROP USER ของ Cassandra

โปรดดูข้อมูลเกี่ยวกับวิธีเปิดใช้การตรวจสอบสิทธิ์ Cassandra ที่เปิดใช้การตรวจสอบสิทธิ์ Cassandra

หากต้องการรีเซ็ตรหัสผ่าน Cassandra คุณต้องดำเนินการดังนี้

• ตั้งรหัสผ่านในโหนด Cassandra ใดก็ได้ แล้วระบบจะกระจายรหัสผ่านไปยังโหนด Cassandra ทั้งหมดในวง
• อัปเดตเซิร์ฟเวอร์การจัดการ เครื่องประมวลผลข้อความ รูทเตอร์ เซิร์ฟเวอร์ Qpid และเซิร์ฟเวอร์ Postgres ในโหนดแต่ละโหนดด้วยรหัสผ่านใหม่

โปรดดูข้อมูลเพิ่มเติมที่ http://www.datastax.com/documentation/cql/3.0/cql/cql_reference/cqlCommandsTOC.html

วิธีรีเซ็ตรหัสผ่าน Cassandra

1. เข้าสู่ระบบโหนด Cassandra ใดก็ได้โดยใช้เครื่องมือ cqlsh และข้อมูลเข้าสู่ระบบเริ่มต้น คุณเปลี่ยนรหัสผ่านในโหนด Cassandra เพียงโหนดเดียวก็เพียงพอแล้ว ระบบจะประกาศรหัสผ่านนั้นไปยังโหนด Cassandra ทั้งหมดในวง ดังนี้

   /opt/apigee/apigee-cassandra/bin/cqlsh cassIP 9042 -u cassandra -p cassandra

   สถานที่:

   • cassIP คือที่อยู่ IP ของโหนด Cassandra
   • 9042 คือพอร์ต Cassandra
   • ผู้ใช้เริ่มต้นคือ cassandra
   • รหัสผ่านเริ่มต้นคือ cassandra หากคุณเปลี่ยนรหัสผ่านไว้ก่อนหน้านี้ ให้ใช้รหัสผ่านปัจจุบัน
2. เรียกใช้คำสั่งต่อไปนี้ตามพรอมต์ cqlsh> เพื่ออัปเดตรหัสผ่าน

   ALTER USER cassandra WITH PASSWORD 'NEW_PASSWORD';

   หากรหัสผ่านใหม่มีอักขระเครื่องหมายคำพูดเดี่ยว ให้หลีกหนีให้ไกลโดยนำไปด้านหน้าด้วยอักขระเครื่องหมายคำพูดตัวเดียว

3. ออกจากเครื่องมือ cqlsh:

   exit

4. ในโหนดเซิร์ฟเวอร์การจัดการ ให้เรียกใช้คำสั่งต่อไปนี้

   /opt/apigee/apigee-service/bin/apigee-service edge-management-server store_cassandra_credentials -u CASS_USERNAME -p CASS_PASSWORD

   คุณส่งไฟล์ไปยังคําสั่งที่มีชื่อผู้ใช้และรหัสผ่านใหม่ได้หากต้องการ โดยทําดังนี้

   apigee-service edge-management-server store_cassandra_credentials -f configFile

   โดยที่ configFile มีข้อมูลต่อไปนี้

   CASS_USERNAME=CASS_USERNAME
   CASS_PASSWORD=CASS_PASSWROD

   คำสั่งนี้จะรีสตาร์ทเซิร์ฟเวอร์การจัดการโดยอัตโนมัติ

5. ทำซ้ำขั้นตอนที่ 4 ในอุปกรณ์ต่อไปนี้
   • Message Processor ทั้งหมด
   • เราเตอร์ทั้งหมด
   • เซิร์ฟเวอร์ Qpid ทั้งหมด (edge-qpid-server)
   • เซิร์ฟเวอร์ Postgres (edge-postgres-server)

เปลี่ยนรหัสผ่าน Cassandra แล้ว

กำลังรีเซ็ตรหัสผ่าน PostgreSQL

โดยค่าเริ่มต้น ฐานข้อมูล PostgreSQL จะมีผู้ใช้ 2 รายที่กําหนดไว้ ได้แก่ "postgres" และ "apigee" ผู้ใช้ทั้ง 2 รายมีรหัสผ่านเริ่มต้นเป็น "postgres" ทำตามขั้นตอนต่อไปนี้เพื่อเปลี่ยนรหัสผ่านเริ่มต้น

เปลี่ยนรหัสผ่านในโหนดหลัก Postgres ทั้งหมด หากกำหนดค่าเซิร์ฟเวอร์ Postgres 2 เครื่องในโหมดหลัก/สแตนด์บาย คุณจะต้องเปลี่ยนรหัสผ่านในโหนดหลักเท่านั้น ดูข้อมูลเพิ่มเติมได้ที่ตั้งค่าการจําลองข้อมูลแบบ Master-Standby สําหรับ Postgres

1. ในโหนด Postgres หลัก ให้เปลี่ยนไดเรกทอรีเป็น /opt/apigee/apigee-postgresql/pgsql/bin
2. ตั้งรหัสผ่านผู้ใช้ "postgres" ของ PostgreSQL โดยทำดังนี้
   1. เข้าสู่ระบบฐานข้อมูล PostgreSQL โดยใช้คําสั่งต่อไปนี้

      psql -h localhost -d apigee -U postgres

   2. เมื่อมีข้อความแจ้ง ให้ป้อนรหัสผ่านของผู้ใช้ "postgres" เป็น "postgres"
   3. ที่ Command Prompt ของ PostgreSQL ให้ป้อนคำสั่งต่อไปนี้เพื่อเปลี่ยนรหัสผ่านเริ่มต้น

      ALTER USER postgres WITH PASSWORD 'apigee1234';

   4. ออกจากฐานข้อมูล PostgreSQL โดยใช้คําสั่งต่อไปนี้

      \q

3. ตั้งรหัสผ่านผู้ใช้ "apigee" ของ PostgreSQL ดังนี้
   1. เข้าสู่ระบบฐานข้อมูล PostgreSQL โดยใช้คําสั่งต่อไปนี้

      psql -h localhost -d apigee -U apigee

   2. เมื่อได้รับข้อความแจ้ง ให้ป้อนรหัสผ่านผู้ใช้ "apigee" เป็น "postgres"
   3. ในพรอมต์คำสั่ง PostgreSQL ให้ป้อนคำสั่งต่อไปนี้เพื่อเปลี่ยนรหัสผ่านเริ่มต้น:

      ALTER USER apigee WITH PASSWORD 'NEW_PASSWORD';

   4. ออกจากฐานข้อมูล PostgreSQL โดยใช้คำสั่ง

      \q

4. ตั้งค่า APIGEE_HOME

   export APIGEE_HOME=/opt/apigee/edge-postgres-server

5. เข้ารหัสรหัสผ่านใหม่:

   sh /opt/apigee/edge-postgres-server/utils/scripts/utilities/passwordgen.sh apigee1234

   คำสั่งนี้จะแสดงรหัสผ่านที่เข้ารหัสดังที่แสดงด้านล่าง รหัสผ่านที่เข้ารหัสจะเริ่มต้นหลังจากอักขระ ":" และไม่รวมอักขระ ":"

   Encrypted string:WheaR8U4OeMEM11erxA3Cw==

6. อัปเดตโหนดเซิร์ฟเวอร์การจัดการด้วยรหัสผ่านใหม่ที่เข้ารหัสสำหรับผู้ใช้ "postgres" และ "apigee"
   1. ในเซิร์ฟเวอร์การจัดการ ให้เปลี่ยนไดเรกทอรีเป็น /opt/apigee/customer/application
   2. แก้ไขไฟล์ management-server.properties เพื่อตั้งค่าพร็อพเพอร์ตี้ต่อไปนี้ หากไม่มี ให้สร้างไฟล์นี้
   3. ตรวจสอบว่าไฟล์เป็นของผู้ใช้ "apigee" โดยทำดังนี้

      chown apigee:apigee management-server.properties

7. อัปเดตโหนดเซิร์ฟเวอร์ Postgres และ Qpid ทั้งหมดด้วยรหัสผ่านที่เข้ารหัสใหม่
   1. ในโหนดเซิร์ฟเวอร์ Postgres หรือ Qpid ให้เปลี่ยนไดเรกทอรีเป็น /opt/apigee/customer/application
   2. แก้ไขไฟล์ต่อไปนี้ หากไฟล์เหล่านี้ไม่อยู่ ให้สร้างไฟล์ขึ้นมา
      • postgres-server.properties
      • qpid-server.properties
   3. เพิ่มพร็อพเพอร์ตี้ต่อไปนี้ลงในไฟล์
   4. ตรวจสอบว่าไฟล์เป็นของผู้ใช้ "apigee":

      chown apigee:apigee postgres-server.properties
      chown apigee:apigee qpid-server.properties

8. รีสตาร์ทคอมโพเนนต์ต่อไปนี้ตามลำดับนี้
   1. ฐานข้อมูล PostgreSQL

      /opt/apigee/apigee-service/bin/apigee-service apigee-postgresql restart

   2. เซิร์ฟเวอร์ Qpid:

      /opt/apigee/apigee-service/bin/apigee-service edge-qpid-server restart

   3. เซิร์ฟเวอร์ Postgres:

      /opt/apigee/apigee-service/bin/apigee-service edge-postgres-server restart

   4. เซิร์ฟเวอร์การจัดการ:

      /opt/apigee/apigee-service/bin/apigee-service edge-management-server restart